欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

Microsoft? Internet Security and Acceleration (ISA) Server 2006 提供網(wǎng)絡(luò )之間受控的安全訪(fǎng)問(wèn)，并充當一個(gè)提供快速 Web 響應和卸載功能以及用于遠程訪(fǎng)問(wèn)的安全 Web 發(fā)布的 Web 緩存代理。它的多層體系結構和高級策略引擎為您需要的安全級別和所要的資源之間的平衡提供了精確的控制。在一臺邊緣服務(wù)器連接多個(gè)網(wǎng)絡(luò )時(shí)，與組織中的其他服務(wù)器相比，ISA Server 要處理大量流量。因此，ISA Server 是專(zhuān)為高性能而構建的。本文為部署具有最佳性能和充足容量的 ISA Server 提供指南（本文還包含指向英文網(wǎng)頁(yè)的鏈接）。

摘要

在大多數情況下，可用網(wǎng)絡(luò )帶寬（特別是 Internet 鏈路帶寬）可通過(guò)運行在可用的入門(mén)級硬件上的 ISA Server 來(lái)保護。對于各種 Internet 鏈路，典型的保護超文本傳輸協(xié)議 (HTTP) 流量的出站 Web 訪(fǎng)問(wèn)的默認 ISA Server 部署需要以下特定硬件配置。下表列出了這些硬件配置（有關(guān)詳細信息，請參閱本文檔中的“Web 代理方案”）。

使用傳輸層狀態(tài)篩選而不是 Web 代理篩選器，將同樣流量模型的 CPU 使用率提高了 10 倍。狀態(tài)篩選和應用程序篩選可同時(shí)使用，以便對性能進(jìn)行精確控制。

返回頁(yè)首

規劃 ISA Server 容量

了解容量需求是確定 ISA Server 部署所必需的資源的第一步。對于大規模的部署，會(huì )有幾種具體的部署情況。一般情況下，您可能需要考慮下列衡量指標：

對于 ISA Server 容量的最重要的衡量指標是實(shí)際網(wǎng)絡(luò )帶寬，因為它們通常代表真實(shí)的容量需求。在許多情況下，網(wǎng)絡(luò )帶寬（特別是 Internet 鏈路的網(wǎng)絡(luò )帶寬）可以確定 ISA Server 容量。

相對而言，用戶(hù)數量不能充分表明容量需求，因為用戶(hù)具有不同的使用模式，具體取決于用戶(hù)需求和組織的網(wǎng)絡(luò )策略?？赡芤呀?jīng)證明，在某些情況下，用戶(hù)數量以及應用程序級別的衡量指標對于估計網(wǎng)絡(luò )流量很有用。

所有 ISA Server 容量規劃情況都屬于以下類(lèi)別之一：

以下幾節詳細說(shuō)明了這些情況。

返回頁(yè)首

性能優(yōu)化指南

在確定了哪種容量情況可以滿(mǎn)足您的需要之后，下一個(gè)任務(wù)就是加以?xún)?yōu)化以便獲得最佳性能。對于企業(yè)級 ISA Server，這意味著(zhù)設計充足的硬件資源，使系統的 CPU 能力作為可能的資源瓶頸。對于單臺入門(mén)級 ISA Server 計算機而言，可能的瓶頸是 Internet 帶寬而非您選擇的處理器。

優(yōu)化硬件以實(shí)現最高的 CPU 使用率

ISA Server 容量取決于 CPU、內存、網(wǎng)絡(luò )和磁盤(pán)硬件資源。每種資源都有容量限制，只要所有資源的使用都不超過(guò)其上限，系統在整體上就能正常運行，從而可以達到其性能目標。如果達到了其中的某一限度，性能就會(huì )顯著(zhù)下降，從而產(chǎn)生瓶頸。在這種情況下，我們就說(shuō)系統受此項資源的約束。每個(gè)瓶頸在系統整體性能中都有其癥狀，可以幫助檢測容量不足的資源。在發(fā)現性能瓶頸之后，可以通過(guò)增加其容量不足的資源的容量來(lái)消除瓶頸。

從成本的角度看，設計一個(gè)受 CPU 資源約束的系統是最高效的。這是它是升級成本最高的資源。而其他資源短缺問(wèn)題的解決成本則相對較低：添加另一個(gè)磁盤(pán)，添加另一個(gè)網(wǎng)絡(luò )適配器，或者增加內存。我們建議您對系統的硬件進(jìn)行優(yōu)化，以實(shí)現最高的 CPU 利用率。確保系統在耗盡 CPU 資源之前不會(huì )出現性能瓶頸。如果 CPU 能力可以維持預期的負荷，則瓶頸永遠不會(huì )出現。為此，所有其他資源都必須具有足夠融領(lǐng)。以下幾個(gè)小節說(shuō)明了如何設計 CPU 使用率最大化（每種資源都具有足夠容量）的系統，如何監視每種資源以及如何對每種資源中的瓶頸進(jìn)行故障排除。

確定 CPU 和系統體系結構容量

與大多數為大量客戶(hù)端請求提供服務(wù)的服務(wù)器應用程序一樣，CPU 速度的提高、處理器緩存的增加和系統體系結構的改進(jìn)都會(huì )提高 ISA Server 的性能：

•	CPU 速度。在大多數應用程序中，CPU 更快 ISA Server 性能也會(huì )越高。不過(guò)， CPU 速度的提高并不能確保性能也會(huì )成比例地增加。受大量和頻繁的內存訪(fǎng)問(wèn)的影響，提高 CPU 速度可能會(huì )導致在等待內存時(shí)，浪費更多的空閑 CPU 周期。
•	L2/L3 緩存大小。處理大量的數據需要頻繁地訪(fǎng)問(wèn)內存。L2/L3 緩存提高了大量?jì)却孀x取的性能。
•	系統體系結構。由于 ISA Server 在網(wǎng)絡(luò )設備、內存和 CPU 之間傳送大量的數據負荷，CPU 周?chē)南到y組件也會(huì )影響 ISA Server 的性能。更快的內存前端總線(xiàn)和更快的 I/O 總線(xiàn)可以提高整體容量。

CPU 瓶頸的特征如下：\Processor\% Processor Time 性能計數器數值很高，而網(wǎng)絡(luò )適配器和磁盤(pán) I/O 保持很低的容量。在這種情況下（這是理想的 CPU 使用率最大化的系統），達到 100% 的使用率就意味著(zhù)必須提高 CPU 能力，不管是升級為更快的 CPU 還是添加更多處理器。有關(guān) CPU 擴展選項的信息，請參閱本文檔中的“擴展 ISA Server”。如果 ISA Server 的響應時(shí)間仍然很長(cháng)，但 CPU 的使用率較低，則說(shuō)明瓶頸是由其他組件引起的。

在 CPU 的使用率不超過(guò) 60% 的情況下，使用超線(xiàn)程功能也有助于降低 CPU 的使用率。對于更高的 CPU 使用率，是否啟用超線(xiàn)程對于 CPU 資源的使用沒(méi)有影響。

確定內存容量

ISA Server 內存用于：

•	存儲網(wǎng)絡(luò )套接字（主要來(lái)自于非分頁(yè)池）
•	內部數據結構
•	未決的請求對象

對于 Web 代理緩存的情況，內存還用于：

•	磁盤(pán)緩存目錄結構
•	內存緩存

由于 ISA Server 要處理大量需要系統非分頁(yè)內存的并發(fā)連接，因此，內存限制因素是非分頁(yè)池的大小，而這是由總的內存大小決定的。對于 Microsoft Windows Server? 2003 和 Windows? 2000 Server 操作系統，非分頁(yè)池大小的最大值和最小值如下表所示。

物理內存 (MB)	128	256	512	1,024	2,048	4,096
最小非分頁(yè)池大小	4	8	16	32	64	128
最大非分頁(yè)池大小	50	100	200	256	256	256

 

在未啟用 Web 緩存時(shí)，512 MB 對于單處理器計算機來(lái)說(shuō)應該足夠了，而 1,024 MB 對于雙處理器計算機來(lái)說(shuō)也應該足夠了，而 2,048 MB 足以支持雙核雙處理器計算機。這些內存空間也可以存儲完整的內存工作集容量。

內存優(yōu)化不正確的最關(guān)鍵證據是 \Memory\Pages/sec（測量每秒的硬件頁(yè)面錯誤數）在峰值負荷期間很大（大于 10）。如果出現這種情況，第一步行動(dòng)取決于是否啟用了 Web 緩存：

1.	如果禁用了 Web 緩存，則必須通過(guò)監視系統中所有進(jìn)程使用的內存來(lái)確定是否需要更多的物理內存。下列性能計數器會(huì )為您提供一些幫助： \Memory\Pages/sec\Memory\Pool Nonpaged Bytes\Memory\Pool Paged Bytes\Process(*)\Working Set
2.	如果啟用了 Web 緩存，應首先嘗試將內存緩存大小降低到物理內存的 10%。如果硬件頁(yè)面錯誤仍舊存在，則繼續第一步。

Virtual Server 部署

  注意：

ISA Server 2006 可以安裝在 Microsoft Virtual Server 2005 R2 上。

由于承載 Virtual Server 的 Windows 操作系統無(wú)法由虛擬服務(wù)器上的 ISA Server 來(lái)提供保護，因此，不應該將 Virtual Server 環(huán)境中的 ISA Server 用在邊緣防火墻方案中，

而且也不支持這種配置。而在其他方案中則可以安全地使用這一配置，例如：

•	在 Virtual Server 上使用 ISA Server 來(lái)提供如正向代理、發(fā)布和緩存等 Web 代理服務(wù)的實(shí)際運行部署，可以由邊緣防火墻（例如其他 ISA Server 計算機或陣列）提供保護。
•	實(shí)驗室部署

如果\Process\wspsrv\Virtual Bytes 性能計數器數值較高（如果為 1,800,000,000 (1.8?GB) 則表示可能存在問(wèn)題），則可以考慮在 Virtual Server 2005 R2 上使用 ISA Server 而不用另行購買(mǎi)一臺 ISA Server 計算機：

•	定義虛擬服務(wù)器上承載的來(lái)賓操作系統數量。如果虛擬字節超過(guò)了 1.8 GB，則應考慮向計算機（已添加 2 GB 隨機存取內存 (RAM)）添加虛擬操作系統。
•	向主機添加 RAM（為每個(gè)來(lái)賓操作系統添加 2 GB）。
•	在服務(wù)器上安裝 Microsoft Virtual Server 2005 R2。有關(guān)詳細信息，請參閱 Microsoft Virtual Server 網(wǎng)站。遵照 Microsoft 幫助和支持上有關(guān)性能的建議來(lái)操作。
•	安裝來(lái)賓操作系統。
•	在每個(gè)來(lái)賓操作系統上安裝和配置 ISA Server。
•	使用諸如基于域名系統 (DNS) 循環(huán)硬件的外部負載均衡器或 Windows 網(wǎng)絡(luò )負載平衡 (NLB) 在 ISA Server 計算機之間分配流量。

針對在雙核、雙處理器 2.2 GHz（8 GB RAM）服務(wù)器上的安全 HTTP (HTTPS) 發(fā)布方案所進(jìn)行的遠程過(guò)程調用 (RPC) 的測量結果顯示如下：

•	一臺主機上安裝的單個(gè) ISA Server 處理 40000 個(gè)并發(fā)連接需要使用約 2 GB 的虛擬內存。
•	在 3 個(gè)虛擬操作系統上安裝的 3 個(gè) ISA Server 計算機處理 60000 個(gè)并發(fā)連接，而每個(gè)虛擬計算機僅使用 1.3 GB 的虛擬內存?？梢詫⒋四Ｐ蛿U展到更多虛擬計算機上（例如，4 個(gè)、 8 個(gè)，等等），具體取決于宿主服務(wù)器的 RAM 容量和處理能力。這些測試是在三臺計算機上進(jìn)行的。
•	在這兩種情況下 CPU 的使用率幾乎是相同的。

確定網(wǎng)絡(luò )容量

網(wǎng)絡(luò )連接上存在的每個(gè)網(wǎng)絡(luò )設備都有其容量限制。這些設備包括客戶(hù)端和服務(wù)器網(wǎng)絡(luò )適配器、路由器、交換機，以及將它們相互連接起來(lái)的集線(xiàn)器。足夠的網(wǎng)絡(luò )容量意味著(zhù)這些網(wǎng)絡(luò )設備的任何一個(gè)都不會(huì )處于滿(mǎn)負荷狀態(tài)。監視網(wǎng)絡(luò )活動(dòng)對于確保所有網(wǎng)絡(luò )設備的實(shí)際負荷低于它們的最高容量是必不可少的。

在兩種一般情況下，網(wǎng)絡(luò )容量會(huì )影響 ISA Server 性能：

•	ISA Server 使用 WAN 鏈路連接到 Internet。在大部分情況下，Internet 連接帶寬設定了流量的上限。過(guò)度使用 Internet 鏈路可能在峰值流量期間導致性能下降。分支機構也符合這種情況，此時(shí)分支機構的 ISA Server 計算機通過(guò)速度較慢的鏈路連接到總部的 ISA Server 計算機上。
•	ISA Server 僅連接到 LAN。在此情況下，有一個(gè)支持最高流量需求的基礎結構很重要。然而在大多數情況下，由于 100 Mbps 和 1-Gbps LAN 價(jià)格低廉，這并不是一個(gè)問(wèn)題。

為了監視網(wǎng)絡(luò )活動(dòng)，請使用性能計數器：\Network Interface(*)\Bytes Total/sec如果其值高于任何網(wǎng)絡(luò )接口最高帶寬的 75%，則應考慮增加容量不足的網(wǎng)絡(luò )基礎架構的帶寬?；蛘?，考慮使用 ISA Server 2006 高級功能，詳情請參閱本文檔中的“BITS 緩存”和“HTTP 壓縮”。

確定磁盤(pán)存儲容量

ISA Server 將磁盤(pán)存儲用于：

•	對防火墻活動(dòng)進(jìn)行日志記錄
•	Web 緩存

如果兩者都被禁用，或者如果沒(méi)有流量，ISA Server 將不執行任何磁盤(pán) I/O 活動(dòng)。在典型的 ISA Server 設置中，日志記錄功能處于啟用狀態(tài)，并被配置為使用 Microsoft SQL Server? 2005 Desktop Engine (MSDE 2005) 日志記錄。對于大多數部署，單個(gè)磁盤(pán)足以滿(mǎn)足最高的日志記錄速度。如果啟用了 Web 緩存，則必須按照本文檔的“Web 緩存”中的說(shuō)明仔細規劃磁盤(pán)存儲容量。

任何磁盤(pán)存儲系統的限制因素都是每秒的物理磁盤(pán)訪(fǎng)問(wèn)量。該數量隨這些訪(fǎng)問(wèn)的隨機性和物理磁盤(pán)的轉速而異。通常，該限制介于每秒 100 次到 200 次訪(fǎng)問(wèn)之間。用于監視磁盤(pán)訪(fǎng)問(wèn)速度的性能計數器是：\PhysicalDisk(*)\Disk Transfers/sec如果某個(gè)磁盤(pán)在一段持續的時(shí)間內達到了該限制，則系統速度會(huì )變慢，通過(guò)系統響應時(shí)間的延長(cháng)就可以注意到這一點(diǎn)。為了消除該瓶頸，直接的解決方案是通過(guò)添加更多物理磁盤(pán)來(lái)降低磁盤(pán)訪(fǎng)問(wèn)量。

磁盤(pán)訪(fǎng)問(wèn)率高的另一個(gè)原因是硬件頁(yè)面錯誤。有關(guān)此情況的故障排除信息，請參閱本文檔的“Web 緩存”。

應用程序和 Web 篩選器

ISA Server 使用應用程序篩選器來(lái)執行應用層安全檢查。應用程序篩選器是注冊到特定協(xié)議端口的動(dòng)態(tài)鏈接庫 (DLL)。只要有數據包發(fā)送到此協(xié)議端口，它就會(huì )被傳遞給應用程序篩選器，篩選器將按照應用程序邏輯對其進(jìn)行檢查并根據策略來(lái)確定如何進(jìn)行處理。如果沒(méi)有為協(xié)議指定應用程序篩選器，數據將進(jìn)行 TCP 狀態(tài)篩選。在此級別，ISA Server 只檢查 TCP/IP 標頭信息。

一般來(lái)說(shuō)，由于以下幾個(gè)原因，應用層篩選比 TCP 狀態(tài)篩選需要更多的處理操作：

由于應用程序篩選器是防火墻處理擴展程序，它們可能會(huì )影響性能。我們建議：

日志記錄

ISA Server 提供了兩種主要的方法來(lái)對防火墻活動(dòng)進(jìn)行日志記錄：

比較兩種方法可以看出，MSDE 具有更多功能，但它也使用更多系統資源。具體來(lái)說(shuō)，如果從 MSDE 日志記錄切換到文件日志記錄，可以預測處理器使用率總體上會(huì )提高 10% 到 20%。

MSDE 日志記錄還會(huì )消耗更多的磁盤(pán)存儲資源。對于每兆數據，MSDE 日志記錄大約要訪(fǎng)問(wèn)磁盤(pán)兩次。而文件日志記錄，訪(fǎng)問(wèn)兩次可以處理 10 MB 的數據。提高 ISA Server 性能的一種方法是從 MSDE 切換到文件日志記錄。僅在由于處理器或磁盤(pán)訪(fǎng)問(wèn)滿(mǎn)負荷而導致性能問(wèn)題的情況下，才推薦使用此方法。

ISA Server 2006 Enterprise Edition 還提供了遠程 SQL 日志記錄功能，該功能可以將所有記錄保存到一個(gè)集中管理的 SQL 數據庫中。遠程 SQL 日志記錄所消耗的 CPU 資源介于 MSDE 和文件日志記錄之間，它幾乎不使用任何磁盤(pán) I/O 操作。不過(guò)，遠程 SQL 日志記錄也會(huì )帶來(lái)其他必須考慮的容量要求，因為所有的日志記錄都要寫(xiě)入到中央遠程數據庫：

下表列出了三種 Internet 鏈路帶寬的估計事務(wù)處理速度和日志帶寬。

對于較大的帶寬，上表中的數字會(huì )線(xiàn)性增加。

返回頁(yè)首

方案

ISA Server 支持多個(gè)部署和應用程序方案。以下幾節對幾個(gè)主要的方案及其性能特性進(jìn)行了說(shuō)明。

部署方案

部署方案是指 ISA Server 計算機在公司內部網(wǎng)絡(luò )中的位置。出于安全性和性能方面的考慮，經(jīng)過(guò)多年的演變形成了幾個(gè)常用的方案，以下幾節從性能和容量的角度對各個(gè)方案做以介紹。

Internet 邊緣防火墻

需要企業(yè)級容量的公司/組織可能會(huì )考慮部署 ISA Server 計算機作為其專(zhuān)用的 Internet 邊緣防火墻，以充當所有公司客戶(hù)端到 Internet 的安全網(wǎng)關(guān)。為了維護內部網(wǎng)絡(luò )和 Internet 之間高達幾百 Mbps 的吞吐量要求，可以配置 ISA Server 僅提供數據包級別的傳輸層篩選功能。

ISA Server 提供的更高的應用層篩選將在第二個(gè)防御層上啟用，該防御層由后端防火墻 ISA Server 計算機組成。

部門(mén)防火墻或后端防火墻

企業(yè)規模組織的下一個(gè)防御陣線(xiàn)由幾臺 ISA Server 計算機構成，這些計算機部署為部門(mén)網(wǎng)絡(luò )防火墻或后端網(wǎng)絡(luò )防火墻，為出入受保護的局域網(wǎng)提供安全的入站和出站訪(fǎng)問(wèn)控制。已擁有防火墻基礎架構的公司/組織可以將它們的高性能防火墻部署到 Internet 連接邊界，而將復雜的應用程序層篩選轉給局域網(wǎng)邊界位置的 ISA Server 計算機來(lái)完成。這將允許公司/組織能夠利用當前的高速 Internet 連接，而同時(shí)又能夠發(fā)揮 ISA Server 2006 應用層篩選功能所提供的獨特的保護級別的作用。

從性能的角度看，只需要部門(mén)防火墻來(lái)承擔所有通過(guò)邊界防火墻的一部分流量，從而能夠運行占用更多資源的安全功能（如應用程序篩選器）。

分支機構防火墻

可以使用 ISA Server 將分支機構網(wǎng)絡(luò )安全地連接到使用站點(diǎn)對站點(diǎn)虛擬專(zhuān)用網(wǎng)絡(luò ) (VPN) 連接的主辦公機構。在這個(gè)部署中，將 ISA Server 放在分支辦公機構，它既用作保護分支辦公機構網(wǎng)絡(luò )的防火墻，又用作將分支辦公機構網(wǎng)絡(luò )連接到主辦公機構網(wǎng)絡(luò )的 VPN 網(wǎng)關(guān)來(lái)使用。

通常，經(jīng)傳輸層篩選的站點(diǎn)對站點(diǎn) VPN 所耗用的每個(gè)流量單元的處理能力只有經(jīng)應用層篩選的 Internet 訪(fǎng)問(wèn)的 25%。

  注意：

在經(jīng)傳輸層篩選的站點(diǎn)對站點(diǎn) VPN 中，應用層篩選器不會(huì )檢查流經(jīng)該通道的流量。與其他任何流量一樣，處理站點(diǎn)到站點(diǎn) VPN 流量的應用層篩選功能根據不同的協(xié)議來(lái)啟用。

Web 代理方案

Internet 和目前的公司網(wǎng)絡(luò )內的大部分流量都是使用 HTTP。對很多協(xié)議的流量模式進(jìn)行的分析表明，HTTP 對網(wǎng)絡(luò )的性能有很高的要求。因此，典型的 Web 流量工作負荷模擬對于衡量任何防火墻的容量和性能特征來(lái)說(shuō)，都是非常切合實(shí)際的。

  注意：

驗證網(wǎng)絡(luò )性能的一個(gè)典型衡量指標是每個(gè) TCP 連接交換的事務(wù)量。與其他協(xié)議相比，HTTP 的典型值（平均為 3 到 5）是較低的。

下表根據 Internet 鏈路帶寬總結了用于在三種典型單計算機部署上支持 HTTP 流量的硬件推薦配置。

Internet 鏈路	最高 5 T1 (7.5 Mbps)	最高 25 Mbps	最高 T3 (45 Mbps)	最高 90 Mbps
處理器/核	1	1	2	2/2
處理器類(lèi)型	Pentium III550 MHz（或更高頻率）	Pentium 4 2.0–3.0 GHz	Xeon 2.0–3.0 GHz	Xeon 雙核 AMD 雙核 2.0–3.0 GHz
內存	256 MB	512 MB	1 GB	2 GB
磁盤(pán)空間	150 MB	2.5 GB	5 GB	10 GB
網(wǎng)絡(luò )接口	10/100 Mbps	10/100 Mbps	100/1000 Mbps	100/1000 Mbps

 

上表中的要求針對的是默認的 ISA Server 2006 安裝設置，一個(gè)策略配置包含數百條規則。這其中包括所有默認的應用程序和 Web 篩選以及 MSDE 日志記錄。以下內容適用于上表：

•	Internet 鏈路帶寬。帶寬數據適用于工作負荷要求苛刻的情況，在這種情況下，ISA Server 2006 被用作提供全部 HTTP 應用程序層篩選的透明 Web 代理。ISA Server 充當正向或反向 Web 代理，可以使吞吐量加倍，這意味著(zhù)用于 T3 帶寬的最低推薦配置為單 Pentium 4 處理器計算機，而對于兩個(gè) T3 連接則使用雙處理器計算機。有關(guān)各種 Web 代理方案之間的性能差異的詳細信息，請參閱本文檔的“代理方案”。 在僅需要狀態(tài)篩選（不需要更高的應用層篩選）的部署中，推薦的硬件配置可達到 LAN 線(xiàn)速。有關(guān)詳細信息，請參閱本文檔的“狀態(tài)篩選”。 在啟用 Web 緩存的情況下，根據字節命中率可將 Internet 鏈路帶寬降低 20% 到 30%。有關(guān)詳細信息，請參閱本文檔的“Web 緩存”。
•	處理器。數據是通過(guò)在數千個(gè) IP 地址上模擬 HTTP 流量得來(lái)的，這些流量造成的負荷使 ISA Server 處理器的使用率達到 70% 到 80%。
•	處理器類(lèi)型。也可以考慮使用模擬 IA-32 指令集的處理能力相當的其他處理器。
•	內存。內存要求不考慮 Web 緩存需要的內存空間。有關(guān) Web 緩存所需的更多內存方面的信息，請參閱本文檔的“Web 緩存”。
•	磁盤(pán)空間。磁盤(pán)空間要求指出了推薦用于 ISA Server 日志的空閑磁盤(pán)空間量。有關(guān)規劃 Web 緩存的磁盤(pán)空間要求的信息，請參閱本文檔的“Web 緩存”。
•	網(wǎng)絡(luò )接口。網(wǎng)絡(luò )接口要求針對的是內部網(wǎng)絡(luò )（未連接到 Internet 的網(wǎng)絡(luò )）。

ISA Server 使用其內置的 Web 代理篩選器來(lái)確保 HTTP 流量的安全。此應用程序篩選器支持三種不同的方案：用于保護公司用戶(hù)對 Internet 的出站訪(fǎng)問(wèn)的正向代理和透明代理，以及用于保護 Internet 用戶(hù)對內部網(wǎng)站的入站訪(fǎng)問(wèn)的反向代理。接下來(lái)的幾個(gè)小節將從性能角度對每種方案加以說(shuō)明，并解釋如何使用緩存來(lái)提高性能。

代理方案

本節提供正向代理、透明代理和反向代理的方案。

正向代理

在正向代理中，客戶(hù)端的 Web 瀏覽器能夠意識到代理的存在。例如在 Microsoft Internet Explorer? 中，這是通過(guò)在“Internet 選項”中設置“使用代理服務(wù)器”或“自動(dòng)檢測設置”來(lái)實(shí)現的。當 Web 客戶(hù)端檢測到代理時(shí)，會(huì )直接打開(kāi)到代理的連接，向代理請求 Internet 上的位置（例如，Internet Explorer 在發(fā)送 HTTP 1.1 請求時(shí)會(huì )打開(kāi)兩個(gè)到代理的連接）。當 ISA Server 接收對服務(wù)器的請求時(shí)，會(huì )打開(kāi)一個(gè)到該服務(wù)器的連接，并將該連接再次用于其他客戶(hù)端向同一服務(wù)器發(fā)送的其他請求。這樣就形成了一個(gè)星型連接拓撲。

這一方案的性能優(yōu)勢在于，它允許大量重用連接，從而盡可能地減少和降低打開(kāi)的連接數和連接速率。

透明代理

在透明代理中，客戶(hù)端的 Web 瀏覽器無(wú)法檢測到代理的存在。瀏覽器會(huì )認為自己是直接路由到 Internet 上的服務(wù)器的，中間沒(méi)有代理。具體來(lái)說(shuō)，Web 客戶(hù)端通過(guò)打開(kāi)與目標網(wǎng)站的連接來(lái)直接訪(fǎng)問(wèn) Internet 服務(wù)器。這樣導致連接速率顯著(zhù)提升，因為在用戶(hù)請求某個(gè)新的服務(wù)器上的頁(yè)面后，Web 瀏覽器將關(guān)閉其與當前 Web 服務(wù)器的連接，然后打開(kāi)與新的 Web 服務(wù)器的新的連接。這是透明代理的典型特征，這對 ISA Server 的性能會(huì )有所影響。通常，透明代理中的客戶(hù)端連接速率大約比正向代理中的高三倍，因此每個(gè)請求所使用的處理器周期約為后者的兩倍。

透明代理是一種很流行的方案，因為它非常容易部署，特別適用于向不同類(lèi)型的客戶(hù)端提供服務(wù)的 Internet 服務(wù)商 (ISP)。由于這個(gè)原因，此方案能夠顯著(zhù)提升性能。

一般情況下，與正向代理相比，用于透明代理的 ISA Server 需要兩倍的 CPU 資源量。

反向代理

反向代理或 Web 發(fā)布的工作方式與正向代理相同，只是反向代理的方向是入站而不是出站。在該方案中，ISA Server 充當供 Internet 上的客戶(hù)端訪(fǎng)問(wèn)的網(wǎng)站?？蛻?hù)端并不知道它們正在訪(fǎng)問(wèn)的網(wǎng)站實(shí)際上是一個(gè)代理。與轉發(fā)代理相同，由于有效地重用了連接，連接的數量以及單位時(shí)間內的連接數達到了最小。反向代理用于 Web 服務(wù)器的安全發(fā)布，如 Microsoft Internet 信息服務(wù) (IIS)、Microsoft Office Outlook? Web Access 2003 和 Microsoft Office SharePoint? Portal Server 這些服務(wù)器的發(fā)布，等等。

從性能的角度看，反向代理與轉發(fā)代理的特性類(lèi)似。主要的差別是，反向代理情況下會(huì )有大量的通信流由 ISA Server 流向 Internet 用戶(hù)，因此需要高帶寬的 Internet 連接。正如下一節中給出的解釋?zhuān)趩⒂?Web 緩存的情況下，轉發(fā)代理和反向代理對于性能會(huì )有不同的影響。

Web 緩存

Web 緩存是在所有 Web 代理方案中用于改善 ISA Server 性能的一項功能。但是，對出站方案（正向代理和透明代理）啟用緩存與對入站反向代理方案啟用緩存時(shí)，對于性能的改善會(huì )有不同的影響。

正向（透明）緩存和反向緩存之間的主要差異在于緩存的目的。正向（和透明）緩存旨在通過(guò)把經(jīng)常訪(fǎng)問(wèn)的可緩存內容放在靠近用戶(hù)的地方，從而節省 Internet 帶寬成本和縮短響應時(shí)間。反向緩存用于對后端 Web 服務(wù)器進(jìn)行卸載。反向緩存對于響應時(shí)間沒(méi)有影響，對于沒(méi)有緩存的對象甚至會(huì )增加延遲時(shí)間。

就節省而言，正向緩存通過(guò)從緩存中提供已訪(fǎng)問(wèn)過(guò)的內容來(lái)減少對 Internet 上的 Web 服務(wù)器的訪(fǎng)問(wèn)次數，因此可以節省所需要的 Internet 鏈路帶寬。例如，如果緩存字節的命中率為 20%，且內部鏈路的吞吐量峰值為 10 Mbps，則 Internet 鏈路的吞吐量峰值為 8 Mbps。

  注意：

緩存對象命中率是在代理所提供的全部對象中，從緩存中提供的那部分對象所占的比率。同樣，緩存字節命中率是在代理提供的全部字節中，從緩存中提供的那部分字節所占的比率。一般的對象命中率平均值約為 35%，字節命中率約為 20%。

通過(guò)使用反向緩存可以將 Web 服務(wù)器進(jìn)行合并，從而同時(shí)降低硬件和管理成本。例如，如果網(wǎng)站的數據中有 80％ 屬于靜態(tài)可緩存的數據，并且動(dòng)態(tài)對象所需的 CPU 周期是靜態(tài)對象的 4 倍，則利用反向代理可將使用的 Web 服務(wù)器數量減少一半。

  注意：

假定靜態(tài)對象需要使用 X 個(gè) CPU 周期，動(dòng)態(tài)對象則需要 4X 個(gè)周期。如果 100 個(gè)請求中有 80 個(gè)是靜態(tài)的，則 100 個(gè)請求所需要的周期總數是 80X + (100-80)4X = 160X，則用于靜態(tài)內容的請求的 50% 將由 ISA Server 緩存來(lái)滿(mǎn)足。

正向緩存和反向緩存的另一個(gè)區別是緩存的工作集的數量。在反向緩存中，客戶(hù)端工作集的大小沒(méi)有限制，但服務(wù)器工作集只包含幾個(gè)網(wǎng)站和相對較少的對象。在大部分情況下，可以將 ISA Server 設計為具有合理數量的內存和磁盤(pán)空間，使其能夠在緩存中存儲所有駐留的可緩存內容，從而僅僅把動(dòng)態(tài)的非緩存內容指向駐留的 Web 服務(wù)器。更可取的做法是，所有緩存都可以保存在內存中并通過(guò)內存提供服務(wù)。

在正向緩存中，服務(wù)器空間包含無(wú)限個(gè)網(wǎng)站和 Web 對象，因此緩存工作集是無(wú)限的。為了存放這么大的工作集，必須定義很大的磁盤(pán)緩存。本文接下來(lái)的小節將說(shuō)明如何為正向緩存和反向緩存規劃和優(yōu)化 Web 緩存容量。

優(yōu)化正向緩存內存和磁盤(pán)

在正向緩存中，通過(guò)以下公式使用對象命中率和峰值 HTTP 請求速率來(lái)確定必需的磁盤(pán)數量：

Number_of_Disks = (Peak_request_rate X Object_hit_ratio) / 100

例如，如果峰值請求速率為每秒 900 個(gè)請求，對象命中率為 35%，則需要四個(gè)磁盤(pán)。

  注意：

上述公式中的數字 100 是經(jīng)驗值，表示一般運行的物理磁盤(pán)（每分鐘 10,000 轉）每秒可以提供 100 個(gè) I/O 操作服務(wù)。如果磁盤(pán)的轉速快到每分鐘 15,000 轉，則每分鐘可以提供 130－140 個(gè) I/O 操作。

推薦使用相同類(lèi)型、相同容量的專(zhuān)用磁盤(pán)。如果使用 RAID 存儲子系統，應將其配置為 RAID 0（無(wú)容錯）。推薦使用小磁盤(pán)，最好不超過(guò) 40 GB。

優(yōu)化緩存內存更加復雜。在緩存方案中，內存用于：

•	未決的請求對象。未決的請求對象的數量與 ISA Server 計算機的客戶(hù)端連接數量成比例。在大多數情況下，對象的數量低于客戶(hù)端連接數的 50%。每個(gè)未決請求需要約 15 KB 的空間。對于 10,000 個(gè)并發(fā)連接，Web 代理內存工作集為未決的請求對象所分配的空間不超過(guò) 50% × 10,000 × 15?KB = 75?MB。不過(guò)，在通過(guò) HTTP 或 HTTPS 發(fā)布方案傳送的 RPC 中，所有連接都有未決的請求對象。按照前面的例子，為未決的請求對象所分配的空間總計為 100% × 10,000 × 15?KB = 150?MB。
•	緩存目錄。該目錄中包含對每個(gè)緩存對象的一個(gè) 48 字節的條目。緩存目錄的大小直接由緩存和平均響應大小來(lái)確定。例如，存放 7,000,000 個(gè)對象（每個(gè)對象平均 7 KB）的 50 GB 的緩存需要的空間為 48 × 7,000,000 = 336?MB。
•	內存緩存。使用內存緩存的目的是直接從內存滿(mǎn)足經(jīng)常訪(fǎng)問(wèn)的緩存對象的請求，從而減少磁盤(pán)緩存讀取。但是，由于可緩存的內容量在正向緩存中是沒(méi)有限制的，因此內存緩存大小對于性能的影響有限。

默認情況下，內存緩存為總物理內存的 10%，而且是可以配置的。通常，我們推薦使用默認設置，除非出現硬頁(yè)面錯誤。硬件面錯誤會(huì )導致性能急劇降低。使用緩存的情況下，要解決此問(wèn)題，最簡(jiǎn)單的做法是降低內存緩存的大小。

考慮到以上信息，通過(guò)下列過(guò)程來(lái)優(yōu)化緩存內存大?。?/p>

1.	按照上一節的說(shuō)明來(lái)優(yōu)化磁盤(pán)緩存大小。
2.	估計以下各項所需的內存總數： 1. 未決的請求對象（50% × 15?KB × 峰值時(shí)建立的連接數）。 2. 緩存目錄大?。?8 × 緩存中的 URL 數）。 3. 內存緩存大?。J為總內存的 10%）。 4. 系統內存需要約 50 MB，外加每個(gè)連接 2 KB（50 MB + 2 KB × 峰值時(shí)建立的連接數）。 5. 系統中運行的其他進(jìn)程至少需要 100 MB。
3.	監視內存使用率并相應地更改內存緩存大小。信息性性能計數器包括： \ISA Server Cache\Memory Cache Allocated Space (KB) \ISA Server Cache\Memory URL Retrieve Rate (URL/sec) \ISA Server Cache\Memory Usage Ratio Percent (%) \ISA Server Cache\URLs in Cache \Memory\Pages/sec \Memory\Pool Nonpaged Bytes \Memory\Pool Paged Bytes \Process(WSPSRV)\Working Set \TCP\Established Connections

優(yōu)化反向緩存內存和磁盤(pán)

在反向緩存中，與正向緩存相比，工作集大小要小得多，以至于可以將其全部放在內存中。工作集的大小是指緩存所駐留的網(wǎng)站可緩存對象的總量。為了能夠存放所有可緩存的對象，而且考慮到磁盤(pán)分配中出現的碎片和緩存刷新策略，推薦將磁盤(pán)緩存和內存緩存的大小設置為工作集大小的大約兩倍。例如，500 MB 的工作集需要使用 1,000 MB 的磁盤(pán)緩存以及 1,500 MB 的內存，并將內存緩存大小設置為 66%。

由于大多數緩存的讀取是從內存緩存中滿(mǎn)足，因此磁盤(pán)上的 I/O 頻率較低。大多數情況下，單個(gè)物理磁盤(pán)足夠了，不會(huì )形成瓶頸。

使用 /3GB Boot.ini 開(kāi)關(guān)

對于內存超過(guò) 2 GB 的大型系統，Windows Server 2003 和 Windows 2000 Advanced Server 提供了 4GT RAM 優(yōu)化功能。此功能將進(jìn)程內存空間劃分為 3 GB 用于應用程序內存、1 GB 用于系統內存。此功能使得進(jìn)程可以在用戶(hù)空間中利用超過(guò) 2 GB 的 RAM，并通過(guò)在 Boot.ini 文件中添加開(kāi)關(guān) /3GB 將其啟用（有關(guān)詳細信息，請參閱 Microsoft 知識庫中的文章 Q171793 －“有關(guān)應用程序使用 4GT RAM 優(yōu)化信息”）。

此功能可能對 ISA Server 有好處，尤其是對于承載大型網(wǎng)站的反向緩存。不過(guò)，使用此功能會(huì )減少未分頁(yè)池的最大大?。p小到 128 MB 而不是 256 MB），因而會(huì )減少最大并發(fā) TCP 連接數。

BITS 緩存

ISA Server 2004 Service Pack 2 (SP2) 引入了“后臺智能傳輸服務(wù)”(BITS)，ISA Server 2006 中也包括 BITS，它可以對有關(guān) Windows Update 的 HTTP 范圍請求進(jìn)行緩存。.BITS 可以顯著(zhù)地節省帶寬用量，并能夠縮短低帶寬部署的情況下由于下載更新內容而帶來(lái)的延遲，在通過(guò) Web 進(jìn)行更新的需要日益增長(cháng)的背景下，這顯得非常重要。

通過(guò)測量 BITS 緩存性能獲得了以下信息：

•	BITS 緩存在月度更新過(guò)程中將整體命中率提高了一倍，從 10% 增加到 20%。在月度更新期間，總流量節省了 18%。
•	由于平均每個(gè)連接具有極高的吞吐量和命中率，因此，使用 BITS 處理后的流量的執行效率要比其他 Web 流量高。例如，在同樣的硬件上，與未經(jīng) BITS 處理的 Web 流量相比，BITS 緩存在相同的處理器利用率的情況下可以多提供 3 倍或 4 倍的數據位。為 Windows Update 啟用 BITS 緩存后，對于與 Windows Update 無(wú)關(guān)的流量沒(méi)有性能方面的負面影響。

HTTP 壓縮

ISA Server 2006 提供了“超文本傳輸協(xié)議”(HTTP) 壓縮功能。在配置了 HTTP 壓縮之后，ISA Server 可對內容進(jìn)行壓縮，以節省有限的帶寬。這在某些情況下很有用，例如，主辦公機構的代理將 Internet 請求直接路由到 Internet，分支辦公機構通過(guò)帶寬有限的網(wǎng)絡(luò )將它們的請求由主辦公機構發(fā)送出去。該功能使用為人熟知的壓縮算法 (GZip) 來(lái)壓縮 HTTP 數據，壓縮比會(huì )根據目標數據類(lèi)型而有所不同（默認情況下，只對基于文本的數據進(jìn)行壓縮）。

  注意：

當 ISA Server 的 Web 篩選器檢查傳入的壓縮內容時(shí)，會(huì )對壓縮內容進(jìn)行解壓縮。在解壓縮時(shí)，會(huì )將內容作為解壓縮后的文本存儲在緩存中。如果 ISA Server 接受了對緩存內容的請求，它會(huì )在發(fā)送數據前重新將其壓縮，這會(huì )增加響應時(shí)間。

測量通過(guò)帶 50 微秒 (msec) 延遲的 56 Kbps 線(xiàn)路的 HTTP 壓縮，將總部的 ISA Server 計算機連接到分支辦公機構的多臺 ISA Server 計算機，傳送總計為 96 Mbps 的（未壓縮）數據，結果如下：

•	HTTP 壓縮對于慢速網(wǎng)絡(luò )有重要的作用。它將網(wǎng)絡(luò )的利用率提高了 28%，因而提高了總的系統吞吐量。
•	總部和分支辦公機構之間的延遲縮短為原來(lái)的 1/15。
•	在測試系統（雙核 Xeon 2.4 GHz）上啟用 HTTP 壓縮增加了 15% 的 CPU 使用量。

Web 身份驗證

執行 Web 身份驗證的方法有許多種，每一種方法對性能會(huì )有不同的影響。下表總結了每一種方法的優(yōu)點(diǎn)和缺點(diǎn)。

身份驗證方案	強度	執行身份驗證的時(shí)間	每請求的開(kāi)銷(xiāo)	每批處理的開(kāi)銷(xiāo)
Basic	低	每次	低	無(wú)
Digest	中	每次/計數	無(wú)	高
NTLM	中	每連接	無(wú)	高
NTLMv2	高	每連接	無(wú)	高
Kerberos	高	每連接	無(wú)	中
SecurID	高	每瀏覽器會(huì )話(huà)	無(wú)	中
RADIUS（按請求）	高	每請求	高	無(wú)
RADIUS（每超時(shí)，默認）	中	每次	低	無(wú)

 

從性能角度來(lái)看，沒(méi)有每請求的開(kāi)銷(xiāo)并且每批處理的開(kāi)銷(xiāo)較低的身份驗證方案表現最佳。確定使用哪個(gè)身份驗證方案取決于強度和基礎結構。

此外，Web 代理身份驗證可以在 Web 代理偵聽(tīng)器級或在規則級上進(jìn)行配置。只有當所有 Web 訪(fǎng)問(wèn)都需要身份驗證時(shí)才應選擇偵聽(tīng)器級。否則，應選擇規則級別，這意味著(zhù)只在必要時(shí)按照規則來(lái)執行身份驗證。

Web 篩選器

與應用程序篩選器類(lèi)似，Web 篩選器也會(huì )對性能造成影響，具體取決于篩選器所執行的操作。ISA Server 整合了幾種執行特定任務(wù)的 Web 篩選器。在這些篩選器中，最消耗 CPU 的是 HTTP 篩選器和鏈路轉換篩選器。

HTTP 篩選器檢查每個(gè) Web 請求和響應，來(lái)確定它們是否符合常規的 HTTP 協(xié)議用法。該篩選器默認情況下是啟用的，其默認配置提供了對 HTTP 報頭及 URL 的大小限制。其他可用的功能包括按方法、擴展名、報頭和 HTTP 負載簽名來(lái)執行攔截。這些功能在選中的情況下對于性能沒(méi)有影響，但簽名攔截除外，該功能需要 10% 以上的 CPU 周期。推薦使用 HTTP 篩選器來(lái)保護 Web 流量。

鏈路轉換專(zhuān)門(mén)用于 Web 發(fā)布方案。它查看 HTML 響應正文，搜索絕對超鏈接，將其改為指向 ISA Server 計算機。默認情況下，鏈路轉換掃描 HTTP 報頭和響應正文，因此對于性能會(huì )有明顯的影響。在啟用了正文掃描時(shí)，它默認只掃描 HTML 內容，從而導致 CPU 使用率總體上增加 15%。

確保 Web 發(fā)布的安全

通過(guò)使用安全套接字層 (SSL)，ISA Server 提高了各種 Web 內容發(fā)布的安全性。ISA Server 與 SSL 結合使用，實(shí)現了對發(fā)布的網(wǎng)站的專(zhuān)用訪(fǎng)問(wèn)，對于公司用戶(hù)，則提供了對各種 Internal 網(wǎng)絡(luò )資源（如電子郵件、共享網(wǎng)站、終端服務(wù)等等）的安全訪(fǎng)問(wèn)。

SSL 屬于 TCP 協(xié)議，使用端口 443。SSL 也稱(chēng)為“安全 HTTP”(HTTPS)，因為它定義了安全打包、身份驗證和 HTTP 內容加密。

從性能的角度看，SSL 加密和解密在常規的 HTTP 處理之外，創(chuàng )建了一個(gè)新的處理層。此處理層包含以下兩個(gè)主要的 CPU 術(shù)語(yǔ)：

總吞吐量和連接比率之間的比確定了為每個(gè)連接所處理的平均位數。此比率定義為“位數/連接”，實(shí)際上，每個(gè)應用程序都有關(guān)于此比的特征值。

以下是一些示例。

Outlook Web Access

當 Web 客戶(hù)端連接到 Outlook Web Access Exchange Server 的前端服務(wù)器時(shí)，它會(huì )加載 Outlook Web 頁(yè)面，其中包含用戶(hù)界面圖標和當前郵箱中的郵件的報頭。隨后，用戶(hù)執行的任何操作（如打開(kāi)、發(fā)送、移動(dòng)到文件夾）會(huì )生成新的平均傳輸 10 到 20 KB 的 HTTP 連接。在匯集了多個(gè)用戶(hù)的 Outlook Web Access 行為之后，Web 客戶(hù)端通常會(huì )創(chuàng )建一個(gè)相對較低的“位數/連接”值（如每個(gè)連接 100 千位）。

使用 Outlook 2003 緩存 Exchange 模式通過(guò) HTTP 使用 RPC

通過(guò) HTTP 的遠程過(guò)程調用 (RPC) 是 Microsoft Exchange Server 2003 的一項功能，它可以使 Outlook 2003 客戶(hù)端從 Internet 訪(fǎng)問(wèn)公司內部網(wǎng)絡(luò )的 Exchange 服務(wù)器。當連接到 Exchange Server 時(shí)，在緩存 Exchange 模式下工作的 Outlook 2003 客戶(hù)端首先會(huì )通過(guò)本地緩存文件同步郵箱內容。同步過(guò)程完成后，不時(shí)地會(huì )建立連接來(lái)傳送新郵件。對于使用高使用率配置文件的知識型員工而言，同步操作會(huì )通過(guò)少量連接來(lái)傳送許多數據字節，因此每個(gè)連接典型的總位數是相當高的（如每個(gè)連接 500 千位）。

  注意：

通過(guò) HTTP 客戶(hù)端的每個(gè) RPC 大約會(huì )創(chuàng )建 10 個(gè)連接，因此，在規劃部署時(shí)還應該考慮總連接數（客戶(hù)端數 x 10）。

網(wǎng)站

網(wǎng)站的設計和實(shí)施有多種方式。因此，網(wǎng)站沒(méi)有典型的“位數/連接”值。不過(guò)，在網(wǎng)站為請求提供服務(wù)之后，可以測量每個(gè)連接的總位數。實(shí)際上，網(wǎng)站的“位數/連接”具有中等值（每個(gè)連接的位數在 100 到 500 千位之間）。

SSL 橋接

在對 ISA Server 部署安全 Web 發(fā)布時(shí)，External 網(wǎng)絡(luò )中的安全 Web 客戶(hù)端可以連接到 SSL 端口。SSL 橋接是 ISA Server 的一項功能，通過(guò)它可以指定 ISA Server 如何與發(fā)布的后端 Web 服務(wù)器通信。使用此功能可以從以下兩種橋接類(lèi)型中進(jìn)行選擇：

SSL 到 SSL 橋接可增強 Internal 網(wǎng)絡(luò )的安全，但由于要對在 ISA Server 和后端服務(wù)器之間傳輸的每一個(gè)數據包進(jìn)行兩次加密，從而增加了處理成本。SSL 到 SSL 橋接的成本比 SSL 到 HTTP 橋接多出約 10%。

確定 SSL 容量

要確定可支持網(wǎng)絡(luò )流量峰值負載的 ISA Server 計算機的處理容量，必須首先測量網(wǎng)絡(luò )流量每連接的典型千位值，然后測量整體總流量。使用以下步驟來(lái)確定這些數據：

1.	使用系統性能監視工具來(lái)監視兩個(gè)小時(shí)的服務(wù)器活動(dòng)峰值期間每個(gè)應用程序服務(wù)器的網(wǎng)絡(luò )流量。收集以下計數器數據： \Network Interface\Bytes Total/sec。這是由 ISA Server 發(fā)布的接口的計數器。使用平均值作為該期間的平均吞吐量。此值也用于計算整體總流量。\TCPv4\Connections Active。此計數器的值是在監視會(huì )話(huà)期間創(chuàng )建的總連接數。要確定這一期間每秒鐘的平均連接數，需要對在整個(gè)期間統計的最大值和最小值求平均值。計算每個(gè)連接的千位數，具體如下：每個(gè)連接的千位數 =（每秒的總位數 × 8/1000）/（每秒的連接數）。
2.	將每個(gè)連接的總平均千位數確定為每臺應用程序服務(wù)器每個(gè)連接的加權平均千位數。每臺服務(wù)器的權值是每臺服務(wù)器的吞吐量除以所有服務(wù)器的總吞吐量。
3.	通過(guò)增加每臺服務(wù)器上測定的流量來(lái)確定整體總流量。
4.	根據在步驟 2 中測定的每個(gè)連接的千位數，使用下表確定 ISA Server 服務(wù)器處理的每兆位 SSL 流量所需的兆周期數。 每個(gè)連接的千位數 100 (Outlook Web Access) 200(Web) 500（HTTP 上的 RPC） 1 個(gè)處理器，SSL 到 HTTP 91 77 69 1 個(gè)處理器，SSL 到 SSL 120 96 83 2 個(gè)處理器，SSL 到 HTTP 128 104 91 2 個(gè)處理器，SSL 到 SSL 142 120 104
5.	若要確定支持整體總流量所需的處理器速度，請將步驟 4 中的每兆位兆周期數乘以步驟 3 中測定的總吞吐量。   注意： 由于 ISA Server 配置、方案和硬件平臺的不同，前面引用的數字僅作為估計之用。對于 Internet 鏈路帶寬大于 10 Mbps 的部署情況，我們建議進(jìn)行試運行測試，以驗證這些估計數據。

例如，假設步驟 2 中計算的每個(gè)連接的速率（千位）是 200，總吞吐量合計為 15 兆位，且您需要 ISA Server 執行 SSL 到 SSL 橋接。在上表中，單個(gè)處理器需要每兆位 96 個(gè)兆周期或 96 × 15 = 1440 個(gè)兆周期（在每秒 15 兆位時(shí)）。一個(gè) 2.4 GHz 的 Intel Pentium 4 處理器就足以處理此負載，并且在峰值吞吐量時(shí)利用率只有 1440 / 2400 = 60%。配置了兩個(gè) Intel 2.4-GHz Pentium 4 處理器的雙處理器計算機需要每兆位 120 個(gè)兆周期或 120 × 15 = 1800 個(gè)兆周期（在每秒 15 兆位時(shí)），并且在峰值吞吐量時(shí)利用率只有 1800 / (2 × 2400) = 38%。

下表顯示了 2.4-GHz 處理器在最大推薦利用率 (80%) 時(shí)可處理的流量（兆位）。

此表尤其適用于僅使用 ISA Server 處理 SSL 流量的部署情況。如果計劃針對 SSL 和未加密的 HTTP 流量部署 ISA Server，則可以根據將每種方案的流量乘以每兆位兆周期數，通過(guò)計算加權平均兆周期數來(lái)估計所需的處理能力，如下表所示。

例如，假設要在邊緣防火墻方案中部署 ISA Server，這種情況下，每秒 20 兆位峰值流量中的 40% 用于透明代理，35% 用于正向代理，25% 用于每個(gè)連接 200 千位的“SSL 到 SSL”。ISA Server 在單處理器計算機中處理此流量所需的兆周期總數為：

兆周期數 = 每秒 20 兆位 × (74 × 40% + 37 × 35% + 96 × 25%) = 1331

一個(gè) 2.4 GHz 的 Intel Pentium 4 處理器就足以處理此負載，并且在峰值吞吐量時(shí)利用率只有 1331 / 2400 = 55%。雙處理器計算機需要 20 × (86 × 40% + 43 × 35% + 120 × 25%) = 1589 個(gè)兆周期，這種情況下，在峰值吞吐量時(shí)兩個(gè) 2.4-GHz Intel Pentium 4 處理器的利用率是 1589 / (2400 × 2) = 33%。

VPN

虛擬專(zhuān)用網(wǎng)絡(luò ) (VPN) 包括兩個(gè)基本方案：遠程訪(fǎng)問(wèn) VPN 和站點(diǎn)對站點(diǎn)的 VPN。這兩種方案都可以使用多種協(xié)議，并可與應用程序篩選或有狀態(tài)篩選功能結合使用?；?Internet 協(xié)議安全 (IPsec) 的協(xié)議還可以利用許多網(wǎng)絡(luò )適配器中可用的硬件卸載功能來(lái)提高處理器總體利用率。有些協(xié)議可以利用壓縮來(lái)提高吞吐量或節省帶寬。正如接下來(lái)的小節介紹的，所有這些功能都會(huì )影響性能。

遠程訪(fǎng)問(wèn) VPN

從 Internet 撥入的遠程客戶(hù)端可使用 VPN 遠程訪(fǎng)問(wèn)來(lái)訪(fǎng)問(wèn)其公司網(wǎng)絡(luò )。在遠程訪(fǎng)問(wèn)中使用的協(xié)議是點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP) 和 Internet 協(xié)議安全 (IPsec) 上的第 2 層隧道協(xié)議 (L2TP)。這兩種協(xié)議都支持壓縮，推薦使用壓縮，因為壓縮可以節省帶寬和加密所需的處理能力。

要確定 ISA Server VPN 服務(wù)器是否具有足夠的容量，首先需要計算 ISA Server 計算機需要支持的并發(fā)遠程連接的最大數量。例如，如果預計組織有 5000 名員工，并且同時(shí)建立遠程連接的員工不超過(guò) 5%，則需要處理 250 個(gè)并發(fā) VPN 遠程訪(fǎng)問(wèn)連接。

下表指出了每種硬件平臺支持的并發(fā) VPN 遠程訪(fǎng)問(wèn)連接的最大數量。這些數字假設 ISA Server 的默認設置整合了 Web 代理篩選、MSDE 日志記錄以及同時(shí)用于 PPTP 和 IPSec 上的 L2TP 協(xié)議的壓縮功能。

以下內容適用于上表：

在能夠從更高程度上信任 VPN 的部署中，應用程序級篩選功能可能被禁用，從而可提高總容量，并放松安全級別。下表顯示了禁用 Web 代理篩選器時(shí)的相關(guān)數據。

以下內容適用于上表：

站點(diǎn)到站點(diǎn)的 VPN

在建立站點(diǎn)到站點(diǎn)的 VPN 連接時(shí)，從性能和容量的角度看，主要有兩種選擇。一種選擇是采用 PPTP 或 IPsec 上的 L2TP。這些協(xié)議提供應用程序流量壓縮，從而可通過(guò)站點(diǎn)到站點(diǎn)的鏈路進(jìn)行傳輸的吞吐量會(huì )加倍。例如，通過(guò) PPTP 或 L2TP 隧道發(fā)送一個(gè) 2 MB 的文件實(shí)際上僅傳遞了 1 MB。另一種選擇是使用 IPsec 隧道，該隧道沒(méi)有整合壓縮功能。因此與 IPsec 隧道相比，PPTP 和 IPsec 上的 L2TP 都可節省 50% 的站點(diǎn)到站點(diǎn)的吞吐量。

當 Web 代理篩選器被禁用時(shí)，對于 15 Mbps 的應用程序流量，采用 IPsec 上的 L2TP 需要單顆 Pentium III 750-MHz 處理器。由于進(jìn)行了壓縮，單向傳遞該流量?jì)H需 7.5 Mbps 的鏈路容量。單顆 Pentium 4 3-GHz 處理器可處理的應用程序流量高達 90 Mbps，但需要 T3 鏈路容量 (45 Mbps)。當啟用了 Web 代理篩選器時(shí)，一顆 Pentium III 750-MHz 處理器可維持 7 Mbps 的應用程序流量，但需要 3.5 Mbps Internet 鏈路帶寬；而單顆 Pentium 4 3-GHz 單處理器則可處理 34 Mbps 應用程序流量，對應所需鏈路帶寬為 17 Mbps。雙 Xeon 3-GHz 處理器可處理 53 Mbps 應用程序流量，需要 26.5 Mbps Internet 鏈路帶寬。在 CPU 使用情況相同的條件下，PPTP 可多處理大約 15% 到 20 % 的吞吐量。

第二種選擇是使用 IPsec 隧道，該隧道不支持壓縮，這意味著(zhù) Internet 鏈路流量與應用程序流量是相同的。使用狀態(tài)篩選配合工作（禁用 Web 代理篩選器）時(shí)，IPsec 隧道能夠在單顆 Pentium III 550-MHz 處理器上處理 10 Mbps，在單顆 Pentium 4 3-GHz 處理器上則可以處理 52 Mbps。當啟用了 Web 代理篩選器時(shí)，單顆 Pentium III 處理器、單顆 Pentium 4 處理器和雙 Xeon 處理器平臺的吞吐量數據分別為 4 Mbps、18 Mbps 和 30 Mbps。

下表總結了 CPU 使用率為 75% 時(shí)支持的實(shí)際 Mbps 的結果（括號內的數字表示未壓縮的流量）。

許多網(wǎng)絡(luò )接口適配器提供的 IPsec 卸載硬件可能會(huì )導致吞吐量的值增加 20% 到 25%。

多分支機構的站點(diǎn)到站點(diǎn) VPN

許多組織通常是由一個(gè)總部和多個(gè)分支機構組成。在這種配置中，多個(gè)分支機構的計算機都連接到總部的同一臺計算機。這就是通常所說(shuō)的星形拓撲。

對這種情況的測量顯示，總部的單臺 ISA Server 計算機最多可支持 60 臺分支機構計算機的并發(fā)連接，流量傳輸速率可達到 200 Kbps。測試采用的硬件配置為 AMD 2.4?GHz 四核處理器，2 GB 內存。VPN 隧道使用 IPsec 上的 L2TP 創(chuàng )建。

返回頁(yè)首

ISA Server 擴容

ISA Server 系統可以采取下列幾種方法進(jìn)行擴容：

•	使用高級網(wǎng)絡(luò )交換硬件設備。這些交換機通常稱(chēng)為 L3、L4 或 L7 交換機（第 3 層、第 4 層或第 7 層），因為它們基于不同網(wǎng)絡(luò )層提供的各種信息來(lái)提供交換功能。L3 交換基于數據包層的信息 (IP)，L4 基于傳輸層的信息 (TCP)，L7 基于應用程序數據（HTTP 報頭）執行交換。這些層提供的信息可以根據源 IP 地址和目標 IP 地址、源 TCP 端口和目標 TCP 端口、URL 以及內容類(lèi)型提供高級負載平衡。由于交換機是作為硬件設備實(shí)現的，因此具有相對較高的吞吐量，并且可用性和可靠性很高，但同時(shí)也較為昂貴。大多數交換機可以檢測到服務(wù)器停機，從而啟用容錯。
•	使用 DNS 循環(huán)名稱(chēng)解析。在域名系統 (DNS) 中，一個(gè)服務(wù)器群集可以被賦予相同的名稱(chēng)。DNS 通過(guò)循環(huán)該列表來(lái)響應對該名稱(chēng)的查詢(xún)。這是一種低成本（無(wú)成本）的解決方案，但是有些缺點(diǎn)。問(wèn)題之一在于負載不一定要均勻分布于群集中的服務(wù)器之間。另一個(gè)問(wèn)題是它不提供容錯。
•	使用 Windows 網(wǎng)絡(luò )負載平衡。網(wǎng)絡(luò )負載平衡 (NLB) 是通過(guò)與群集中所有服務(wù)器共享一個(gè) IP 地址來(lái)實(shí)現的，所有服務(wù)器均可查看發(fā)送到此 IP 地址的所有數據。但是，根據某個(gè)共享的哈希函數，每個(gè)數據包都僅由一臺服務(wù)器提供。NLB 是在操作系統級別上實(shí)現的。它可以提供均勻分配的負載平衡，并支持容錯（群集中的其他服務(wù)器可檢測到發(fā)生故障的服務(wù)器，并將故障服務(wù)器的負載分散到其他服務(wù)器間）。但是，它需要一定的 CPU 處理開(kāi)銷(xiāo)（對于常見(jiàn)的 ISA Server，約為 10% 到 15%），并對群集的成員數量有一定限制（推薦的最大成員數量約為 8 臺計算機）。有關(guān)如何部署 NLB 的更多信息，請參閱 Microsoft TechNet 網(wǎng)站的“Microsoft Internet Security and Acceleration (ISA) Server 2006 的網(wǎng)絡(luò )負載平衡集成概念”。
•	使用緩存陣列路由協(xié)議。對于緩存情況，ISA Server 支持緩存陣列路由協(xié)議 (CARP)，它是一個(gè)緩存負載平衡協(xié)議。該協(xié)議不僅在服務(wù)器間分布負載，而且還可以分布緩存的內容。每個(gè)請求被發(fā)送給群集中某臺特定的計算機，從而后續操作均由該計算機來(lái)完成。

由于 ISA Server 保留了所通過(guò)的每個(gè)數據流的狀態(tài)，因此所有擴容方法均必須支持“粘性”，以便所有數據都能夠通過(guò) ISA Server 計算機。

擴容可用于增加系統的容量。每種擴容方法都是瑕瑜互見(jiàn)的。對于 ISA Server 而言，優(yōu)點(diǎn)或缺點(diǎn)取決于具體的方案。在決定使用哪種擴容方法時(shí)，請考慮以下因素：

•	性能因素。導致吞吐量隨陣列內計算機數量的翻倍而增加的多種因素。
•	系統成本。購買(mǎi)系統的初始成本，不是擁有成本。
•	系統管理。系統管理的復雜程度。這將直接影響系統的擁有成本。
•	容錯。系統用于實(shí)現高可用性和可靠性的方法。
•	系統升級。用于增強系統處理能力的方法。升級成本也是一個(gè)需要考慮的重要事項。

下面是在決定擴容時(shí)需要權衡的一些因素：

•	單點(diǎn)故障與容錯。與多計算機群集相比，單臺計算機部署的可用性更容易受到硬件故障的影響。系統主板或磁盤(pán)控制器故障會(huì )導致整個(gè)系統出現故障而需要修復。這對于出現故障的硬件負載平衡器也是一樣。
•	升級。只要計算機上存在空閑的處理器插槽（或硬件負載平衡交換設備中存在可用的端口），單臺計算機解決方案就可以很簡(jiǎn)單地從一個(gè)處理器升級到兩個(gè)處理器。在多計算機群集中，另外添加一臺計算機就更復雜了。

下表總結了各種擴容方法。

特性	硬件交換設備	Windows NLB	DNS 循環(huán)	CARP
比例系數	2	對于 Web 流量為 1.75 對于 SSL 和 VPN 遠程訪(fǎng)問(wèn)為 1.9	2	從 1.5 開(kāi)始，漸漸接近 2
系統成本	昂貴	無(wú)附加成本	無(wú)附加成本	無(wú)附加成本
容錯	取決于交換設備（大多數交換設備檢測故障計算機并加載其他設備）	相互檢測故障計算機	無(wú)	相互檢測故障計算機
方案	所有	所有	所有	僅轉發(fā)緩存

 

以下內容適用于上表：

•	NLB 在啟用時(shí)需要 15% 的性能開(kāi)銷(xiāo)。與禁用了 NLB 的同一陣列相比，帶有一個(gè)成員的 NLB 陣列的性能將降低 15%。因此，在估計使用 NLB 擴容后的容量時(shí)，有必要先將單臺計算機的吞吐量值縮小 15%，然后再應用擴容比例系數。
•	Web 流量的 NLB 比例系數假設一個(gè)雙向的關(guān)聯(lián)配置（在陣列上配置多于一個(gè) NLB 群集時(shí)）。在許多情況下，對 Web 流量來(lái)說(shuō)，單個(gè)關(guān)聯(lián)就足夠了，這時(shí)的比例系數為 1.9。
•	對站點(diǎn)到站點(diǎn) VPN 使用 NLB 時(shí)，無(wú)法對通過(guò)陣列成員連接兩個(gè)站點(diǎn)的隧道進(jìn)行負載平衡操作。在這種情況下，NLB 僅提供容錯。當通過(guò)一個(gè) NLB 陣列將一個(gè)站點(diǎn)連接到許多站點(diǎn)時(shí)，ISA Server 會(huì )將隧道分散在所有陣列成員上。

返回頁(yè)首

配置存儲服務(wù)器大小調整

隨 ISA Server 2006 Enterprise Edition 一起引入的服務(wù)器組件之一是配置存儲服務(wù)器組件。配置存儲服務(wù)器是企業(yè)內部用于存儲企業(yè)布局和每臺 ISA Server 計算機配置的一個(gè)存儲庫。該存儲庫是 Active Directory? 應用程序模式 (ADAM) 的一個(gè)實(shí)例。每臺 ISA Server 計算機均在本地保留一份其配置的副本，該副本是對服務(wù)器配置的復制，位于配置存儲服務(wù)器中。

可連接到單臺配置存儲服務(wù)器的 ISA Server 計算機的推薦數量為 300 臺，推薦的最大數量為 600 臺。這些數字是在配置存儲服務(wù)器上執行資源消耗最多的操作，再根據其性能評測估計得來(lái)的 — 導入包含數百條規則和數以千計的策略對象引用的大型策略，會(huì )生成一個(gè)大約 6 MB 的可擴展標記語(yǔ)言 (XML) 文件。在這種情況下，配置存儲服務(wù)器會(huì )導入該 XML 文件并創(chuàng )建一個(gè)新的配置。在配置存儲服務(wù)器開(kāi)始向磁盤(pán)寫(xiě)入新的配置數據的同時(shí)，所有已連接的 ISA Server 計算機同時(shí)開(kāi)始獲取此配置，從而配置存儲服務(wù)器上的 CPU、網(wǎng)絡(luò )和磁盤(pán) I/O 負載相當大。當配置存儲服務(wù)器使用 3.6-GHz Intel Pentium 4 雙處理器和 2 GB 物理內存時(shí)，評測結果顯示，配置存儲服務(wù)器可維持每秒 2600 輕型目錄訪(fǎng)問(wèn)協(xié)議 (LDAP) 請求的水平。對于大型策略的導入，每臺 ISA Server 計算機實(shí)現完全同步所需的 LDAP 請求總數為 7000。這些數字可以轉換為配置存儲服務(wù)器導入大型策略 XML 文件后實(shí)現所有 ISA Server 計算機的完全同步所需的時(shí)間，計算方式如下：

總導入時(shí)間 = XML 導入時(shí)間 + 將配置寫(xiě)入磁盤(pán)的時(shí)間 + 所有 ISA Server 計算機同步配置所用的時(shí)間

其中：

XML 導入時(shí)間 = 120 秒

將配置寫(xiě)入磁盤(pán)的時(shí)間 = 120 秒

N 臺 ISA Server 計算機同步配置所用的時(shí)間 = N × 7000 / 2600 = 2.7 × N 秒

下表總結了這些結果。

在前兩個(gè)階段（XML 導入階段和將配置寫(xiě)入磁盤(pán)階段），CPU 使用率大約為 50%。這是因為執行操作的單線(xiàn)程只能使用雙處理器計算機 50％ 的處理能力。在單處理器計算機中，CPU 使用情況在這些階段為 100%，我們必須避免出現這種情況。因此，建議針對配置存儲服務(wù)器部署雙處理器計算機，或在單處理器計算機（采用 Pentium 4 處理器）中啟用超線(xiàn)程。

有關(guān)部署 ISA Server 配置存儲服務(wù)器的詳細信息，請參閱 Microsoft TechNet 網(wǎng)站的“ISA Server 2006 Enterprise Edition 部署指南”。

返回頁(yè)首

大小調整參考和示例

本節提供了調整 ISA Server 2006 標準版和企業(yè)版大小的主要參考和摘要。第一張表提供了使用 Web 代理、SSL、VPN 和狀態(tài)篩選方案的每兆位兆周期數。

SSL - SSL 到 HTTP

SSL - SSL 到 SSL

VPN 遠程訪(fǎng)問(wèn) － 啟用 Web 篩選器

VPN 遠程訪(fǎng)問(wèn) － 禁用 Web 篩選器

VPN 站點(diǎn)到站點(diǎn) － 啟用 Web 篩選器

VPN 站點(diǎn)到站點(diǎn) － 禁用 Web 篩選器

以下內容適用于上表：

上表中的數字是在使用下列假設的條件下獲得的：

以下內容適用于上表：

以下示例說(shuō)明了如何使用上表來(lái)計算支持特定流量要求所需的硬件。

假設一個(gè)大型站點(diǎn)的 Internet 鏈路帶寬在高峰使用時(shí)間充分利用的情況下為 80 Mbps。在此期間，10 % 的線(xiàn)路流量用于遠程 VPN 訪(fǎng)問(wèn)（IPsec 上的 L2TP，啟用了 Web 篩選器），20% 的線(xiàn)路流量用于 Outlook Web Access（使用 SSL 到 HTTP 的橋接），70% 的線(xiàn)路流量用于出站 Web 瀏覽（50% 的透明代理和 50% 的正向代理）。若要計算此流量的必要兆周期數，請先計算每兆位的加權兆周期數，假設一臺雙 Xeon 處理器的計算機部署（無(wú)負載平衡）：

兆周期數/兆位 = 353 × 10% + 128 × 20% + 86 × 35% + 43 × 35% = 107

80 Mbps 所需的每秒兆周期總數為：80 × 107 = 8560。

一臺雙 3-GHz 處理器的計算機在使用率為 75% 時(shí)兆周期僅為 2 × 3000 × 75% = 4500，這是不夠的。這樣就有必要添加更多計算機來(lái)進(jìn)行擴容。此時(shí)還無(wú)法確定需要多少臺計算機 — 可能是兩臺，也可能是三臺。要計算出所需的每兆位兆周期數按比例系數計算的數值，請將每種流量類(lèi)型的每兆位兆周期數乘以其對應的比例系數，還要記得再執行一次 +15% 的比例系數計算。對于陣列中的兩個(gè)成員，Web 流量使用 1.143（假設廣播驅動(dòng)程序體系結構），VPN 和 SSL 流量使用 1.053。結果是：

一個(gè)包含兩個(gè)成員的陣列按比例系數計算的兆周期數/兆位 = 115% × (353 × 10% × 1.053 + 128 × 20% × 1.053 + 86 × 35% × 1.143 + 49 × 35% × 1.143) = 136

所需的每秒兆周期總數結果為：80 × 136 = 10880。這對于兩個(gè)成員來(lái)說(shuō)負載過(guò)大（兩臺雙 3-GHz 處理器的計算機所能支持的每秒兆周期僅為 2 × 4500 = 9000）。三臺計算機可能有足夠的處理能力來(lái)支持此負載。計算結果為：

一個(gè)包含三個(gè)成員的陣列按比例因數計算兆周期數/兆位 = 115% × (353 × 10% × 1.085 + 128 × 20% × 1.085 + 86 × 35% × 1.236 + 49 × 35% × 1.236) = 143

所需的每秒兆周期總數結果為：80 × 143 = 11440。三臺雙 3-GHz 處理器的計算機在使用率為 84% 時(shí)提供每秒 13500 個(gè)兆周期。這足以支持該負載，而且還可提供一些空間用于升級。